L'inspection approfondie des paquets et l'élément humain

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Danny O’Brien

Mai 2009

Avis de non-responsabilité :Les opinions exprimées dans ce document sont celles de l'auteur. Elles ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Nota : Cet essai a été communiqué par l'auteur au Commissariat à la protection de la vie privée pour le Project d'inspection approfondie des paquets.


Internet est souvent décrit comme une forteresse imprenable pour l’expression libre et la vie privée : un monde où la technologie même est conçue pour résister à toute intervention par des tiers. En fait, l’infrastructure et le fonctionnement d’Internet dépendent fondamentalement du comportement des intermédiaires, notamment les fournisseurs d’accès Internet (FAI). La mise en cause des normes existantes selon lesquelles les FAI n’ont pas pour rôle d’examiner le trafic de leur clientèle, ce que risque de provoquer la propagation de l’inspection approfondie des paquets, affaiblit grandement la protection de la vie privée des internautes, une protection d’ores et déjà précaire.

Le professeur Larry Lessig écrit dans Code and Other Laws of CyberspaceNote de bas de page 1 que quatre forces régulent le comportement en ligne : le code, la loi, les normes et les marchés. Dans le cas de l’inspection approfondie des paquets et d’autres formes de surveillance Internet, le code prévoit actuellement qu’il ne doit pas y avoir d’entraves. La majorité des communications Internet se font en « texte clair » : le message est constitué de données non cryptées et il est aussi facile à lire qu’une carte postale envoyée par la poste. Ces paquets de données non protégées sont relayés par des dizaines d’ordinateurs, et sur chacun d’eux le contenu des paquets peut être scruté. L’inspection approfondie des paquets consiste essentiellement à détourner ce déluge de données pour permettre à des ordinateurs de faire ce qu’ils savent faire de mieux : en analyser le contenu.

Une seule ligne de code sur un ordinateur personnel ordinaire sous Linux ou Mac OS peut avec un logiciel couramment disponible soumettre à une « inspection approfondie des paquets » tous ceux qui communiquent sur un réseau local et chercher un mot clé dans toutes les communications des utilisateurs.

# tcpdump -A -s0 -i eth0 | grep privacy

Les lois en vigueur protègent‑elles la vie privée des utilisateurs? Bon nombre de lois nationales offrent des protections solides pour la confidentialité des communications — mais dans un monde où circulent des textes en clair, l’application de ces lois pose un défi constant.

Aussi, la tentation de déformer les règles, de les contourner ou de leur faire une entorse est constante. Sauf pour le trafic crypté, la surveillance sur Internet tel qu’il se présente actuellement n’est pas seulement facile, elle est aussi presque impossible à détecter. La lecture des courriels et du trafic Web n’oblige pas à ouvrir des enveloppes à la vapeur. Souvent, l’inspection du trafic Internet ne requiert rien d’autre qu’un dénonciateur humain comme Mark Klein, un employé d’AT&T à la retraite qui a fourni des renseignements détaillés sur un système de surveillance secret implanté dans les installations de la compagnie de téléphone à San FranciscoNote de bas de page 2.

Les marchés peuvent offrir des incitations pour protéger la vie privée des clients — mais peuvent aussi favoriser les indiscrétions. Bon nombre de FAI réfléchissent maintenant aux avantages financiers qui pourraient découler de l’utilisation de diverses applications de l’inspection approfondie des paquets pour la mise à profit des communications de leur propre clientèle. Des compagnies comme PhormNote de bas de page 3 au Royaume-Uni ont proposé que les FAI balayent le trafic privé de leurs utilisateurs pour tracer des profils de marketing, grâce auxquels on pourra ensuite mieux cibler les efforts de marketing visant cette clientèle. Naturellement, plus on collige d’information sur un utilisateur d’Internet, plus les données dont on dispose sont valables.

En pratique, une part imposante de l’arsenal en place pour décourager la surveillance de masse en ligne est constituée par les normes culturelles internes des FAI. Et comme les techniques sont très simples, que les données sont très valables et que l’étendue des atteintes à la vie privée est illimitée, les intermédiaires eux‑mêmes sont contraints de s’imposer une ligne à ne pas dépasser pour se prémunir contre la tentation de scruter chaque paquet qui transite par eux.

Des normes non écrites comme celle‑là sont plus efficaces là où la surveillance Internet comprend un élément humain. Plus les clients et les FAI sont renseignés, et plus ils hésitent à adopter ou à excuser un tel comportement.

Ironiquement, l’aspect de l’inspection approfondie des paquets qui rassure beaucoup de gens est aussi celui qui recèle le risque le plus profond. Dans le cas du ciblage publicitaire de Phorm, de la surveillance gouvernementale anticriminalité et du filtrage automatisé exécuté par les FAI pour un contenu particulier, il est souvent allégué que la surveillance est acceptable parce qu’aucun humain ne voit les données interceptées — qu’il s’agit d’une simple surveillance par une machine.

Il est sans doute plus dérangeant en effet de savoir que quelqu’un se tient derrière nous pour scruter ce que l’on fait que de savoir que quelque part, dans une salle de serveur perdue, une machine produit des statistiques. Mais dans la mesure où toute intervention humaine est écartée, il est plus difficile de déceler ou de déclarer les abus et plus difficile encore de résister à un changement d’orientation. Sans une surveillance attentive, l’inspection approfondie des paquets la plus subtile et la plus raisonnable en apparence pourra se transformer en outil d’atteinte à la vie privée à grande échelle, et ce, avec seulement quelques lignes de code de plus. Les paquets sont là; les données sont présentes; les machines sont souples. Après tout, si nous espionnons toutes les données pour déceler les atteintes aux droits de propriété intellectuelle, pourquoi n’inspecterions‑nous pas toutes les données confidentielles pour déceler les risques d’attaque terroriste, une menace sociale beaucoup plus pressante? Et si nos filtres automatiques IP fonctionnent si bien en l’absence d’intervention humaine, peut‑être sommes‑nous heureux d’utiliser nos filtres de « politique mal avisée » en bénéficiant de la même absence de surveillance?

Une bonne part de ce qui a assuré la protection de notre vie privée sur Internet à ce jour tient à la mince norme culturelle du monde des FAI selon laquelle nos communications privées sont vraiment réservées à notre usage et à l’usage de ceux à qui nous nous adressons. Si l’inspection approfondie des paquets remplace la ligne de démarcation établie par les FAI pour se contraindre à ignorer les données qui leur passent sous les yeux, Internet peut vraiment devenir un espace livré à l’anarchie, avec des lois inefficaces pour protéger la vie privée, une culture en faveur d’une surveillance sans conséquence chez les intermédiaires, et un nouveau marché pour les communications privées, désormais offertes au plus offrant.

Date de modification :